基于鸿蒙系统的终端身份认证方法、装置、设备及介质与流程

1.本发明涉及终端身份认证技术领域，尤其涉及一种基于鸿蒙系统的终端身份认证方法、装置、设备及介质。

背景技术：

2.在现有的网络通信技术中，因分布式总线技术的不断完善，另外，分布式通信具有超快的计算速度、通信方便快捷以及可靠性高等特点，分布式通信在现有的通信方式中越来越普遍。
3.进一步地，鸿蒙操作系统通过分布式软总线技术，连接不同设备构建分布式超级终端系统，在一些特定的场景下，在实现分布式控制的同时还需要保证系统的安全性，而系统安全性的重要指标是要对终端身份进行认证。
4.然而，基于鸿蒙系统的终端身份认证方法，可以是通过ibc技术中的sm9标识密码算法或是pki身份认证体系，上述ibc技术中的sm9标识密码算法或是pki身份认证体系在进行终端设备的身份认证时，都需要把公钥传送给对方具体地，pki身份认证体系对硬件的存储要求高，提高了设备的成本，另外，pki导致进行身份认证时各端之间的通信报文、通信证书体积大，进而导致终端设备身份认证的认证效率低。

技术实现要素：

5.本发明提供一种基于鸿蒙系统的终端身份认证方法、装置、设备及介质，旨在解决终端身份认证的安全性低、认证效率低的问题。
6.为实现上述目的，本发明提供一种基于鸿蒙系统的终端身份认证方法，所述方法应用于鸿蒙终端认证系统，所述鸿蒙终端认证系统至少包括终端管理系统、密管中心和预设数量的分布式的终端设备，所述方法包括：
7.通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；
8.获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；
9.基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。
10.优选地，所述基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证，包括：
11.基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所述终端设备对应的合法id终端设备；
12.基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份。
13.优选地，所述终端设备至少包括主控设备和从设备，
14.所述基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所
述终端设备对应的合法id终端设备，包括：
15.获取所述从设备的用户id；
16.基于所述id分组策略，获取所述主控设备对应的可信终端列表，所述可信终端列表为所述主控设备信赖的从设备的用户id；
17.基于所述从设备的用户id与所述可信终端列表进行匹配，确认所述从设备对应的合法id终端设备。
18.优选地，所述基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份，包括：
19.基于所述随机数认证算法，确定所述主控设备的待签名数据，所述主控设备的待签名数据至少包括主控设备随机数和时间戳；
20.获取所述主设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述主控设备的待签名数据进行计算，确定所主控设备的签名值；
21.通过所述从设备对所述主控设备的签名值进行验证，确定所述主控设备的合法身份。
22.优选地，所述基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份，还包括：
23.基于所述随机数认证算法，确定所述从设备的待签名数据，所述从设备的待签名数据至少包括从设备随机数和时间戳；
24.获取所述从设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述从设备的待签名数据进行计算，确定所述从设备的签名值；
25.通过所述主控设备对所述从设备的签名值进行验证，确定所述从设备的合法身份。
26.优选地，在所述通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对之后，所述方法还包括：
27.判断所述终端设备的终端状态；
28.若所述终端设备的终端状态为激活状态，则向所述终端管理系统发起进行身份认证的认证指令；
29.若所述终端设备的终端状态为待激活状态，则通过所述终端管理系统采用预设的交易协议，获取所述密管中心对所述终端设备生成的用户私钥；
30.将所述用户私钥和所述终端设备对应的可信终端列表返回所述终端设备；
31.将所述终端设备当前的终端状态更新为激活状态。
32.优选地，在所述获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表之前，所述方法还包括：
33.获取所述终端设备的密钥更新指令；
34.基于所述密钥更新指令，查询所述终端管理系统对应的数据库，向所述终端设备返回对应的无效终端设备id列表；
35.基于所述无效终端设备id列表，删除所述终端设备中无效的可信列表，更新所述终端设备对应的可信终端列表。
36.此外，为实现上述目的，本发明实施例还提出一种终端身份认证装置，所述终端身
份认证装置包括：
37.密钥生成模块，用于通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；
38.可信终端确定模块，用于获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；
39.身份认证模块，用于基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。
40.优选地，所述身份认证模块包括：
41.基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所述终端设备对应的合法id终端设备；
42.基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份。
43.优选地，所述身份认证模块包括：
44.所述基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所述终端设备对应的合法id终端设备，包括：
45.获取所述从设备的用户id；
46.基于所述id分组策略，获取所述主控设备对应的可信终端列表，所述可信终端列表为所述主控设备信赖的从设备的用户id；
47.基于所述从设备的用户id与所述可信终端列表进行匹配，确认所述从设备对应的合法id终端设备。
48.优选地，所述身份认证模块包括：
49.基于所述随机数认证算法，确定所述主控设备的待签名数据，所述主控设备的待签名数据至少包括主控设备随机数和时间戳；
50.获取所述主设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述主控设备的待签名数据进行计算，确定所主控设备的签名值；
51.通过所述从设备对所述主控设备的签名值进行验证，确定所述主控设备的合法身份。
52.优选地，所述身份认证模块包括：
53.基于所述随机数认证算法，确定所述从设备的待签名数据，所述从设备的待签名数据至少包括从设备随机数和时间戳；
54.获取所述从设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述从设备的待签名数据进行计算，确定所述从设备的签名值；
55.通过所述主控设备对所述从设备的签名值进行验证，确定所述从设备的合法身份。
56.此外，为实现上述目的，本发明实施例还提出一种设备，所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的身份认证程序，所述身份认证程序被所述处理器执行实现如上所述的基于鸿蒙系统的终端身份认证方法步骤。
57.此外，为实现上述目的，本发明还提供一种介质，所述介质为计算机可读存储介质，所述计算机可读存储介质上存储有身份认证程序，所述身份认证程序被处理器执行时
实现如上所述的基于鸿蒙系统的终端身份认证方法的步骤。
58.本发明提出的基于鸿蒙系统的终端身份认证方法、系统、装置、设备及介质，所述方法应用于鸿蒙终端认证系统，所述鸿蒙终端认证系统至少包括终端管理系统、密管中心和预设数量的分布式的终端设备，所述基于鸿蒙系统的终端身份认证方法包括：通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。通过可信终端列表确认身份可信的终端设备，并基于sm9算法对身份可信的终端设备进一步验证，实现基于鸿蒙系统的终端设备的身份认证。保障了鸿蒙系统实现本地连接的终端设备的安全性，提升了终端设备身份认证的认证效率，实现了安全、低成本、高效的多终端身份认证。
附图说明
59.图1为本发明基于鸿蒙系统的终端身份认证方法实施例方案涉及的硬件运行环境的设备结构示意图；
60.图2为本发明基于鸿蒙系统的终端身份认证方法第一实施例的流程示意图；
61.图3为本发明基于鸿蒙系统的终端身份认证方法第二实施例的流程示意图；
62.图4为本发明基于鸿蒙系统的终端身份认证方法第二实施例中步骤s32的子流程示意图；
63.图5为本发明基于鸿蒙系统的终端身份认证方法第二实施例中步骤s32的另一子流程示意图；
64.图6为本发明基于鸿蒙系统的终端身份认证方法第三实施例的流程示意图；
65.图7为本发明基于鸿蒙系统的终端身份认证方法第三实施例中终端设备和终端管理系统之间数据传输的具体流程示意图；
66.图8为本发明基于鸿蒙系统的终端身份认证方法的第四实施例的流程示意图；
67.图9为本发明基于鸿蒙系统的终端身份认证方法的终端身份认证装置的功能模块示意图。
68.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
69.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
70.本发明实施例的主要解决方案是：通过在包含终端管理系统、密管中心和预设数量的分布式的终端设备的鸿蒙终端认证系统中通过定制鸿蒙软总线身份认证模块，引入sm9算法，加强离线终端的身份认证；基于id的分组策略，通过增加可信终端列表，增强sm9身份认证的同时，提高了身份认证效率；基于鸿蒙系统的多终端身份验证时的数据传输，进一步地，根据上述可信终端列表，本发明将选择sm9标识算法作为身份认证的预设算法，实现鸿蒙系统的终端设备基于sm9随机数算法的可信身份双向认证，提高了鸿蒙系统终端设备身份认证的效率。
71.本发明上述主要解决方案带来的有益效果包括：
72.1、在鸿蒙终端认证系统中的密管中心、管理系统作为两个功能独立的子系统，在业务层面上做功能拆分，密管中心生成密钥，管理系统对外实现业务协议，密管中心没有外网接口，一定程度上增强了密钥安全；
73.2、定制开源鸿蒙的身份认证模块，做安全加固，在鸿蒙分布式软总线的身份认证模块引入sm9的算法，提高安全性；
74.3、解决sm9算法密钥统一管理问题，终端维护网络可信终端id列表，解决了只有特定终端才能接入子网的问题，同时提高了认证效率。
75.本发明实施例涉及的技术术语：
76.ibc(identity-based cryptograph)，基于标识的密码技术，ibc是基于传统的pki(公开密钥基础设施)基础上发展而来，主要简化在具体安全应用在大量数字证书的交换问题，使安全应用更加易于部署和使用：ibc密码技术使用的是非对称密码体系，加密与解密使用两套不同的密钥，每个人的公钥就是他的身份标识，比如email地址，电话号码等。而私钥则以数据的形式由用户自己掌握，密钥管理相当简单，可以很方便的对数据信息进行加解密，ibc的基础技术包括数据加密、数字签名、数据完整性机制、数字信封，用户识别，用户认证等。
77.pki(public key infrastructure)，公钥基础设施，pki公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能，是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。
78.进一步地，pki或者sm9在鸿蒙终端系统的终端设备进行身份认证时，都需要把公钥传给对方。不同的是：pki的公钥证书大，而sm9的公钥小，当使用pki进行认证时，只有公钥证书还不够，还需要证书颁发机构的证书链，用来验证公钥证书的合法，当使用sm9进行终端设备认证时，一般都会将设备id发送给对方，因此，sm9在鸿蒙终端系统的终端设备进行身份认证时进行数据传输的数据量更小，认证效率更高。
79.相比于现有技术，本方案通过在鸿蒙软总线身份认证模块引入sm9算法，并基于id的分组策略，通过增加可信终端列表，增强sm9身份认证的同时，提高了身份认证效率，加强了离线终端的身份认证的安全性。
80.具体地，参照图1，图1为本发明基于鸿蒙系统的终端身份认证方法实施例方案涉及的硬件运行环境的设备结构示意图。
81.如图1所示，该设备可以包括：处理器1001，例如cpu，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
82.本领域技术人员可以理解，图1中示出的设备结构并不构成对设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
83.为了更好的理解上述技术方案，下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
84.基于上述终端设备架构但不限于上述架构，提出本发明基于鸿蒙系统的终端身份认证方法实施例。
85.具体地，参照图2，图2为本发明基于鸿蒙系统的终端身份认证方法第一实施例的流程示意图，所述基于鸿蒙系统的终端身份认证方法包括：
86.步骤s10，通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；
87.步骤s20，获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；
88.步骤s30，基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。
89.本技术实施例基于鸿蒙系统的终端身份认证方法通过启动密管中心生成签名主密钥对，确定进行指令传输的终端设备对应的设备id，再根据该设备id确定上述终端设备对应的可信终端列表，最后根据该可信终端列表通过预设的sm9标识密码算法，根据终端设备的签名主密钥对实现上述终端设备的身份认证。
90.以下将对各个步骤进行详细说明：
91.步骤s10，通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；
92.在一具体的实施例中，上述密管中心是鸿蒙终端认证系统进行终端设备身份认证的基础设施中的一个重要组成部分，负责为实现分布式通信的通信系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务。具体地，在本技术实施例中，通过启动密管中心生成与进行指令传输的终端设备对应的签名主密钥对。
93.步骤s20，获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；
94.在一具体的实施例中，获取到进行指令传输的终端设备的设备id，上述设备id是能够证明终端设备身份的唯一标识，可以是手机的手机号码、邮箱的邮箱地址、网络的ip地址等。再根据上述终端id生成设备终端对应的可信终端列表。
95.步骤s30，基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。
96.在一具体实施例中，基于sm9标识密码算法中的数字签名验证算法对所述终端设备的主控设备和从设备的身份进行验证，基于验证结果确定主控设备和从设备之间的可信设备身份认证。具体地，通过上述进行指令传输的指令发送终端设备获取指令接收终端设备的验证消息与指令发送终端设备的数字签名值进行对比，若对比成功、签名值正确，则上述指令发送终端设备的身份得到确认，为合法身份。
97.进一步地，本技术实施例涉及到的基于鸿蒙系统的终端身份认证方法是基于sm9标识密码算法实现终端设备的身份认证，而上述sm9标识密码算法是基于标识的密码技术
ibc的一个算法分支，上述基于标识的密码技术ibc则是通过将用户的唯一标识，比如手机号、邮箱地址等作为公钥，从而终端设备在进行指令传输的过程中不需要频繁申请和交换证书，极大降低了证书和密钥管理的复杂性，降低了使用者的成本投入。
98.进一步地，上述标识密码算法是一种基于双线性对的标识密码算法，它可以把用户的身份标识用以生成用户的公、私密钥对，主要用于数字签名、数据加密、密钥交换以及身份认证等，sm9密码算法的应用与管理不需要数字证书、证书库或密钥库。在本技术实施例中，将上述sm9密码算法应用于基于鸿蒙系统的分布式通信的终端设备身份认证中，在上述密管中心生成终端设备对应的公、私密钥对。
99.在本实施例在进行终端设备身份认证的过程中只需验证签名主密钥对以及对应生成的签名值确定终端设备的认证身份，不需要对所有终端设备的公钥列表进行维护，降低了验证系统的复杂性；另外，在进行指令传输的终端设备之间不进行额外的公钥传递，减少在指令传输过程中的数据量，提升指令传输效率；最后，在终端设备方也无需对签名主公钥进行存储，降低了终端设备的硬件存储要求，减少了指令传输过程的成本，提高了终端设备身份认证的效率，提高终端设备身份认证的可靠性和安全性。
100.进一步地，基于本技术实施例基于鸿蒙系统的终端身份认证方法的第一实施例，提出本技术实施例基于鸿蒙系统的终端身份认证方法的第二实施例。
101.基于鸿蒙系统的终端身份认证方法的第二实施例与基于鸿蒙系统的终端身份认证方法的第一实施例的区别在于，本实施例是对步骤s30，“基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证”的细化，参照图3，具体包括：
102.步骤s31，基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所述终端设备对应的合法id终端设备；
103.步骤s32，基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份。
104.参照图4，步骤s32包括：
105.步骤s321，基于所述随机数认证算法，确定所述主控设备的待签名数据，所述主控设备的待签名数据至少包括主控设备随机数和时间戳；
106.步骤s322，获取所述主设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述主控设备的待签名数据进行计算，确定所主控设备的签名值；
107.步骤s323，通过所述从设备对所述主控设备的签名值进行验证，确定所述主控设备的合法身份。
108.进一步地，参照图5，步骤s32还包括：
109.步骤s324，基于所述随机数认证算法，确定所述从设备的待签名数据，所述从设备的待签名数据至少包括从设备随机数和时间戳；
110.步骤s325，获取所述从设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述从设备的待签名数据进行计算，确定所述从设备的签名值；
111.步骤s326，通过所述主控设备对所述从设备的签名值进行验证，确定所述从设备
的合法身份。
112.在一具体实施例中，进行鸿蒙系统终端设备的终端身份认证的过程中，上述待签名数据由随机数和时间戳组成。具体地，终端设备在对待签名数据进行验证前，会先检查时间戳，比如，若该时间戳已超过5秒，则其对应的待签名数据不做对应处理。每个终端设备都会内置有对应数量的可信终端列表，只有当设备id在上述可信终端列表中的终端设备，才能作为可信终端设备列表完成可信终端设备执行组网。
113.进一步地，实现鸿蒙系统终端设备的可信身份双向认证，可以通过以下步骤：
114.步骤a，主控终端发送一条随机数生成报文给从终端，从终端返回随机数r2；
115.步骤b，主控终端使用用户签名私钥s1和签名主公钥对r2和时间戳计算签名，将用户id1、签名值、时间戳和随机数r2组验证签名报文给从终端；
116.步骤c，从终端获取用户id1，并比较自身存储的可信终端列表，如果在上述内置的可信列表终端内没有上述用户id1，说明该用户id1对应的终端设备不是合法终端；如果在上述内置的可信列表终端内有上述用户id1，则通过终端设备使用用户id1和随机数r2，验证签名值是否正确，如果签名值正确，说明主终端身份合法；
117.步骤d，通过终端设备发送一条随机数生成报文给主控终端，主控终端返回随机数r1；
118.步骤e，从终端使用用户签名私钥s2和签名主公钥对r1和时间戳计算签名，将用户id2、签名值、随机数r1和时间戳组验证签名报文给主终端；
119.步骤f，主控终端比较自身存储的可信终端列表，如果在上述主控终端内置的可信终端列表中没有用户id2，说明该用户id2对应的从设备不是合法终端；如果有用户id2，则使用用户id2和r1，验证签名值是否正确；如果签名值正确，说明从终端身份合法。
120.到此，主控设备和从设备双方实现了可信身份认证，并确定主控设备和从设备对应的可信身份。
121.本实施例通过可信终端列表结合sm9算法实现了鸿蒙系统终端的可信终端双向认证，终端维护网络可信终端id列表，解决只有特定终端才能接入子网的问题，同时提高了认证效率。
122.进一步地，基于本技术实施例基于鸿蒙系统的终端身份认证方法第一实施例和第二实施例，提出本技术实施例基于鸿蒙系统的终端身份认证方法的第三实施例。
123.基于鸿蒙系统的终端身份认证方法的第三实施例与诊断教学方法的第一、第二实施例的区别在于，本实施例是在步骤s10，“通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对”之后，所述方法还包括判断终端设备的终端状态的方案，参照图6，具体包括：
124.步骤s101，判断所述终端设备的终端状态；
125.步骤s102，若所述终端设备的终端状态为激活状态，则向所述终端管理系统发起进行身份认证的认证指令；
126.步骤s103，若所述终端设备的终端状态为待激活状态，则通过所述终端管理系统采用预设的交易协议，获取所述密管中心对所述终端设备生成的用户私钥；
127.步骤s104，将所述用户私钥和所述终端设备对应的可信终端列表返回所述终端设备；
128.步骤s105，将所述终端设备当前的终端状态更新为激活状态。
129.在一具体实施例中，上述鸿蒙终端认证系统中的管理系统需检查终端设备是否注册，如果该终端设备已经注册并且没有申请过密钥，即该终端设备为待激活状态，则该管理系统采用预设的签到协议，向密管中心获取上述终端设备对应的用户密钥，然后将上述用户密钥和内置的可信终端列表给对应的终端设备。上述激活过程是在终端设备出厂之前完成，管理系统记录该终端设备申请密钥，并生成对应的记录，将该终端设备的终端状态更新为激活状态，密管中心不保存用户私钥，终端管理系统也不保存私钥。
130.参照图7，图7为上述终端设备和终端管理系统之间数据传输的具体流程图，具体地，上述鸿蒙终端认证系统中终端设备向终端管理系统发起身份认证交易，终端管理系统通过内置有密管中心签发的可信终端列表实现终端设备的身份认证，终端设备向终端管理系统发起密钥更新交易，终端管理系统修改终端状态为待激活，同时向密管中心获取用户私钥，然后在密钥更新交易里返回用户私钥给终端，收到终端获取成功的应答后，更新终端状态为激活。
131.在本实施例通过对终端设备的终端状态进行判断，将中断状态确定为激活状态的终端设备实行身份认证，为本技术方案提供进行身份认证的硬件设备，保障了鸿蒙终端认证系统实现身份认证的设备安全。
132.进一步地，基于本技术实施例基于鸿蒙系统的终端身份认证方法第一实施例、第二实施例和第三实施例，提出本技术实施例基于鸿蒙系统的终端身份认证方法的第四实施例。
133.基于鸿蒙系统的终端身份认证方法的第四实施例与诊断教学方法的第一、第二、第三实施例的区别在于，本实施例是在步骤s20，“获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表”之前，所述基于更新密钥的方案，参照图8，步骤s20之前还包括：
134.步骤s201，获取所述终端设备的密钥更新指令；
135.步骤s202，基于所述密钥更新指令，查询所述终端管理系统对应的数据库，向所述终端设备返回对应的无效终端设备id列表；
136.步骤s203，基于所述无效终端设备id列表，删除所述终端设备中无效的可信列表，更新所述终端设备对应的可信终端列表。
137.在一具体实施例中，终端设备向终端管理系统发起获取密钥作废列表交易，管理系统查询数据库，返回密钥作废的终端设备id列表信息，终端向管理系统发起密钥查询交易，管理系统查询数据库，返回密钥是否有效的应答。
138.本实施例通过在终端设备以及终端管理系统中间实现秘钥的更新以及批量删除，确定有效的密管中心的签名主密钥对，实现鸿蒙系统终端设备的可信设备身份认证。
139.此外，本发明实施例还提出一种终端身份认证装置，参照图9，图9为本发明基于鸿蒙系统的终端身份认证方法实施例方案涉及的终端身份认证装置的功能模块示意图。如图9所示，所述终端身份认证装置包括：
140.密钥生成模块10，用于通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；
141.可信终端确定模块20，用于获取所述终端设备的设备id，并根据所述设备id确定
所述终端设备的可信终端列表；
142.身份认证模块30，用于基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。
143.本实施例实现终端身份认证的原理及实施过程，请参照上述各实施例，在此不再赘述。
144.此外，本发明实施例还提出一种设备，所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的身份认证程序，所述身份认证程序被所述处理器执行时实现如上述实施例所述的基于鸿蒙系统的终端身份认证方法的步骤。
145.此外，为实现上述目的，本发明还提供一种介质，所述介质为计算机可读存储介质，所述计算机可读存储介质上存储有身份认证程序，所述身份认证程序被处理器执行时实现如上所述的基于鸿蒙系统的终端身份认证方法的步骤。
146.由于本身份认证程序被处理器执行时，采用了前述所有实施例的全部技术方案，因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果，在此不再一一赘述。
147.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
148.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
149.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品储存在如上所述的一个储存介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
150.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书与附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

技术特征：

1.一种基于鸿蒙系统的终端身份认证方法，其特征在于，所述方法应用于鸿蒙终端认证系统，所述鸿蒙终端认证系统至少包括终端管理系统、密管中心和预设数量的分布式的终端设备，所述方法包括：通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。2.如权利要求1所述的基于鸿蒙系统的终端身份认证方法，其特征在于，所述基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证，包括：基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所述终端设备对应的合法id终端设备；基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份。3.如权利要求2所述的基于鸿蒙系统的终端身份认证方法，其特征在于，所述终端设备至少包括主控设备和从设备，所述基于预设的id分组策略，根据所述终端设备对应的所述可信终端列表确认所述终端设备对应的合法id终端设备，包括：获取所述从设备的用户id；基于所述id分组策略，获取所述主控设备对应的可信终端列表，所述可信终端列表为所述主控设备信赖的从设备的用户id；基于所述从设备的用户id与所述可信终端列表进行匹配，确认所述从设备对应的合法id终端设备。4.如权利要求3所述的基于鸿蒙系统的终端身份认证方法，其特征在于，所述基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份，包括：基于所述随机数认证算法，确定所述主控设备的待签名数据，所述主控设备的待签名数据至少包括主控设备随机数和时间戳；获取所述主设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述主控设备的待签名数据进行计算，确定所述主控设备的签名值；通过所述从设备对所述主控设备的签名值进行验证，确定所述主控设备的合法身份。5.如权利要求4所述的基于鸿蒙系统的终端身份认证方法，其特征在于，所述基于所述sm9身份认证算法的随机数认证算法，根据所述签名主密钥对对所述合法id终端设备进行身份认证，确定所述终端设备的合法身份，还包括：基于所述随机数认证算法，确定所述从设备的待签名数据，所述从设备的待签名数据至少包括从设备随机数和时间戳；获取所述从设备的用户私钥和密管中心签名主公钥，并基于所述用户私钥和密管中心签名主公钥对所述从设备的待签名数据进行计算，确定所述从设备的签名值；通过所述主控设备对所述从设备的签名值进行验证，确定所述从设备的合法身份。
6.如权利要求1所述的基于鸿蒙系统的终端身份认证方法，其特征在于，在所述通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对之后，所述方法还包括：判断所述终端设备的终端状态；若所述终端设备的终端状态为激活状态，则向所述终端管理系统发起进行身份认证的认证指令；若所述终端设备的终端状态为待激活状态，则通过所述终端管理系统采用预设的交易协议，获取所述密管中心对所述终端设备生成的用户私钥；将所述用户私钥和所述终端设备对应的可信终端列表返回所述终端设备；将所述终端设备当前的终端状态更新为激活状态。7.如权利要求5所述的基于鸿蒙系统的终端身份认证方法，其特征在于，在所述获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表之前，所述方法还包括：获取所述终端设备的密钥更新指令；基于所述密钥更新指令，查询所述终端管理系统对应的数据库，向所述终端设备返回对应的无效终端设备id列表；基于所述无效终端设备id列表，删除所述终端设备中无效的可信列表，更新所述终端设备对应的可信终端列表。8.一种终端身份认证装置，其特征在于，所述终端身份认证装置包括：密钥生成模块，用于通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；可信终端确定模块，用于获取所述终端设备的设备id，并根据所述设备id确定所述终端设备的可信终端列表；身份认证模块，用于基于所述可信终端列表，并根据预设的sm9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证。9.一种设备，其特征在于，所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的身份认证程序，所述身份认证程序被所述处理器执行时实现如权利要求1-7中任一项所述的基于鸿蒙系统的终端身份认证方法。10.一种介质，所述介质为计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有身份认证程序，所述身份认证程序被处理器执行时实现如权利要求1至7中任一项所述的基于鸿蒙系统的终端身份认证方法的步骤。

技术总结

本发明公开了基于鸿蒙系统的终端身份认证方法、装置、设备及介质，该方法应用于鸿蒙终端认证系统，所述鸿蒙终端认证系统至少包括终端管理系统、密管中心和预设数量的分布式的终端设备，包括：通过与所述终端管理系统实现本地连接的所述密管中心生成签名主密钥对；获取所述终端设备的设备ID，并根据所述设备ID确定所述终端设备的可信终端列表；基于所述可信终端列表，并根据预设的SM9身份认证算法和所述签名主密钥对对应的签名私钥，实现所述终端设备的身份认证，保障了终端设备的安全性，提升了终端设备身份认证的认证效率，实现了安全、低成本、高效的多终端身份认证。高效的多终端身份认证。高效的多终端身份认证。